Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

アウトドア用品サイト「ナチュラム」に不正アクセス - 最大65万件の個人情報が流出

ミネルヴァ・ホールディングス(旧ナチュラム)の子会社であるナチュラム・イーコマースが運営しているショッピングサイトが、不正アクセスの被害に遭い、カード情報を含む最大約65万件の個人情報が流出したことがわかった。

同サイトのメンテナンス用サーバが、外部からの不正アクセスによりバックドアを設置されたもの。PC向けサイト「アウトドア&フィッシングナチュラム」をはじめ、携帯電話向けサイト「ナチュラムモバイルショップ」、会員向けブログサービス「blog@naturum」の3サイトが利用する顧客データベースが外部から閲覧されたという。

7月9日、同社に対しクレジットカード会社からカード情報の流出について調査依頼があり、7月10日に不正アクセスが発覚。7月18日に個人情報へのアクセスが確認された。流出規模はわかっておらず、データベースに保存されていたカード情報8万6169件を含む最大65万3424件の個人情報が流出した可能性がある。

流出した個人情報の内容は、2000年5月から2008年7月10日までに同サイトへ会員情報を登録した顧客情報で、氏名や住所、メールアドレス、ユーザーID、パスワードのほか、任意で登録が行えた電話番号やファックス、家族構成、性別など含まれる。またクレジットカード情報は、カード名義や有効期限、カード番号の一部が記録されていた。

データベースへのアクセスは、SQLインジェクション攻撃によるものではないが、サーバへ不正に侵入する過程で同攻撃が利用された可能性が高いという。

同社では、8月6日の事件公表に合わせ、顧客に対してメールにより事件について説明を行い、パスワードの変更を依頼した。現在警察へ捜査協力を行っており、PCI DSSへの準拠などセキュリティ強化を進める。

また同社は、不正アクセスが発覚した7月10日に保有するカード情報を削除、カード決済の提供を一時停止したが、その後セキュリティ調査会社により安全性が確認されたとして7月22日よりカード決済を再開。被害者への謝罪として、8月6日から10月31日まで「アウトドア&フィッシングナチュラム」において5%の割引を行う。

(Security NEXT - 2008/08/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

約9年前に会員アカウント情報が流出か - 東芝産業機器システム
複数職員のアカウントで不正アクセスを行った職員を処分 - 多可町
海外子会社に不正アクセス、顧客情報流出の可能性 - 野村HD
学内サーバや教育システムに不正アクセス、個人情報が流出 - 佐賀県
通販サイトに不正アクセス、アカウント情報が流出か - 京都の飲食店
アカウント情報3.7万件が海外サイト上に流出 - キルフェボン
不正アクセスで停止のメルマガ、配信を再開 - 熊本県
「プレミアム・アウトレット」からの流出データ、5カ所で公開を確認
通販サイトに不正アクセス、アカウント情報が海外サイトに - 人気洋菓子店
「セシールオンラインショップ」に不正アクセス - 攻撃リストが顧客IDと一致